Najgorsze hasła 2015 (w nawiasie miejsce w poprzednim roku)
1. 123456 (bez zmian)
2. password (bez zmian)
3. 12345678 (4.)
4. qwerty (5.)
5. 12345 (3.)
6. 123456789 (bez zmian)
7. football (10.)
8. 1234 (7.)
9. 1234567 (11.)
10. baseball (8.)
11. welcome (nowość na liście)
12. 1234567890 (nowość)
13. abc123 (14.)
14. 111111 (15.)
15. 1qaz2wsx (nowość)
16. dragon (9.)
17. master (19.)
18. monkey (12.)
19. letmein (13.)
20. login (nowość)
21. princess (nowość)
22. qwertyuiop (nowość)
23. solo (nowość)
24. passw0rd (nowość)
25. starwars (nowość)
_ źródło: SplashData _
SplashData przeprowadza podobne badanie każdego roku. Niestety, wnioski płynące z analizy danych historycznych nie są optymistyczne. Pierwsze dwa miejsca na podium nie zmieniły się od 2013 roku.
Co roku na liście pojawiają się też zupełnie nowe frazy, jednak i one nie zwiastują, by użytkownicy mieli większą świadomość zagrożeń w internecie. Zamiast tego widać, że reagują na wydarzenia popkulturowe. Wśród kilku debiutantów w 2015 roku na listę trafiły takie hasła jak 'solo', 'starwars' i 'princess', co jest najprawdopodobniej efektem tegorocznej premiery filmu _ Gwiezdne wojny: Przebudzenie Mocy _.
Z kolei w 2013 roku szturmem listę podbiły 'photoshop' (miejsce 15.) i 'adobe' (miejsce 10.), czyli frazy związane z popularnym programem do tworzenia grafiki komputerowej. To właśnie trzy lata temu grupa hakerów opublikowała wykradzioną z Adobe listę, zawierającą poufne dane 38 milionów użytkowników. Jak widać, duża grupa użytkowników nie zadała sobie trudu, żeby wymyślić coś bardziej skomplikowanego.
Są jednak niewielkie postępy. Analitycy SplashData szacują, że z 25 najgorszych haseł korzysta około trzech procent internetowej społeczności, czyli – zgodnie z szacunkami firmy badawczej eMarketer – około 90 milionów ludzi. Liczba ta powoli jednak maleje.
Sprawdź swoje hasło
To dobrze, jeśli nasze hasło nie znajduje się na powyższej liście, ale to dopiero połowa sukcesu. Fraza może nadal być słaba, czyli łatwa do złamania. Jak więc sprawdzić, czy jesteśmy należycie chronieni? Można w tym celu wykorzystać rozwiązanie „password game”, opracowane przez Intela.
Na stronie www-ssl.intel.com/content/www/us/en/forms/passwordwin.html algorytm oblicza, ile czasu będzie potrzebował haker, żeby złamać wpisane hasło. Na podstawie wyświetlanych komunikatów możemy się nauczyć, które hasła są mocne, a które wręcz przeciwnie. Siła hasła analizowana jest za pomocą algorytmu, który wykorzystuje moc obliczeniową komputera.
I tak fraza 'abcefg' podda się po niewiele ponad 32 sekundach. Zwycięzca rankingu SplashData, '123456', nie przetrwa za to nawet sekundy. Podobnie 'password' – nawet jeśli rozpoczniemy je wielką literą. Nieco lepiej poradzi sobie polski odpowiednik – 'hasło' wytrzyma całe półtorej sekundy.
Zdanie jak sejf
Podstawowe pytanie brzmi więc: jak powinno wyglądać idealne hasło? Intel radzi – używaj zarówno wielkich jak i małych liter.
Hasło powinno wyglądać jak zdanie. Zazwyczaj nie jest to problem, ponieważ wiele stron internetowych pozwala wykorzystać znak spacji. Korzystaj z nich więc jak najczęściej. Jeśli serwis odmawia, zamiast spacji użyj dolnego podkreślenia, które znajdziesz nad znakiem myślnika.
Warto też stosować pozostałe znaki interpunkcyjne, czyli wykrzyknik, znak zapytania, przecinek, kropkę itp. Oczywiście pod warunkiem, że tak stworzone hasło będzie możliwe do zapamiętania. Jeśli ciąg wyrazów poprzecinany wykrzyknikami i znakami zapytania sprawi trudność, stosuj je na początku lub – tak jak w zdaniu – na końcu wymyślonej frazy.
Dobrze, żeby hasło było odpowiednio długie. 12 znaków to całkiem przyzwoite minimum. Jeśli taki ciąg wydaje ci się nie do zapamiętania, radzimy ponownie: twórz całe zdania, które są dużo prostsze do zapamiętania, a jednocześnie trudniejsze do rozszyfrowania niż skomplikowane zlepki liter i liczb. Najlepiej, jeśli fraza nie będzie miała logicznego sensu, czyli na przykład 'Ten Ekspres Myję 3 Lata!'. Zgodnie z narzędziem Intela, haker będzie potrzebował 40447606855920050000 lat, żeby złamać to hasło. Oczywiście ty już go nie stosuj!
Wydłużanie hasła mija się z celem, jeśli użytkownik dodaje kolejne znaki na tej samej zasadzie, co poprzednie. Innymi słowy, fraza 'abcdefgh' jest niemal tak równie słaba, jak 'abcde'.
Często zdarza się, że frazy, które ludzkiemu oku wydają się skomplikowane, nie zawsze takie są dla hakerów i ich szybkich komputerów. Spójrzmy ponownie na listę najpopularniejszej 25-tki. Na 15 miejscu znalazło się tajemnicze '1qaz2wsx'. I to jako nowość! Przyjrzyjmy się jednak bliżej. To tak naprawdę ciąg kolejnych klawiszy na klawiaturze, idąc po skosie w dół. Innymi słowy, niewiele różni się mocą od 'qwerty'.
Dywersyfikuj!
Równie ważny jest sposób zarządzania i przechowywania haseł. Nie trzeba nikomu tłumaczyć, że nawet najmocniejsze niewiele zdziała, jeśli trafi w ręce hakera. Ryzyko możemy istotnie zredukować. Przede wszystkim nie trzymajmy wszystkich jaj w jednym koszu i nie duplikujmy haseł. Jeśli już okaże się, że jedno z nich padło i dane wyciekły, poniesiemy ograniczoną stratę. Dostęp do pozostałych usług nadal będzie bezpieczny. Jeśli założymy, że wymyślenie i zapamiętanie innych haseł do każdego serwisu jest niewykonalne, stosujmy się przynajmniej do zasady: osobna fraza do usług bankowych, osobna do e-maila, osobna do mediów społecznościowych.
Powyższe zalecenie możemy w prosty sposób rozszerzyć, istotnie podnosząc nasze bezpieczeństwo. Twórzmy przyrostki dla poszczególnych usług z danej grupy. Na przykład: 'Ten Ekspres Myję 3 Lata: FB' i 'Ten Ekspres Myję 3 Lata: TWTR'.
W sukurs użytkownikom idą firmy tworzące menedżery haseł. To niewielkie programy, które umożliwiają przechowywanie danych logowania do wielu usług. Problem zapamiętywania haseł ograniczają więc właściwie do zapamiętania tylko jednej frazy, dającej dostęp do samego programu. Reszta pozostaje w programie, który poradzi sobie z zapamiętaniem nawet najdłuższych, najbardziej skomplikowanych haseł.
Jeśli tylko możesz, korzystaj z też dobrodziejstw udostępnianych przez serwisy. Na przykład Gmail umożliwia podwójną weryfikację hasła. Jeśli system odkryje, że logujesz się z nieznanego urządzenia, poprosi o wpisanie 6-znakowego kodu, który wyśle na telefon komórkowy. Haker musiałby więc nie tylko znać hasło, ale również mieć dostęp do smartfona właściciela konta.
Szukasz porady? Skontaktuj się z ekspertem z Asseco: +48 22 574 88 23; e-mail: piotr.fabjaniak@assecods.pl